Alerte aux investisseurs :
L’OCRI met en garde les investisseurs canadiens contre les fraudeurs qui usent d’un stratagème de récupération d’argent en usurpant l’identité de l’OCRI.
En 2023, l’Organisme canadien de réglementation des investissements (OCRI) a organisé deux exercices de simulation de cybersécurité pour ses courtiers membres de petite et moyenne taille. Ces exercices ont consisté en une série d’études de cas. Les participants devaient discuter des interventions de crise en petits groupes en présence d’un animateur. L’objectif de ces exercices était de permettre aux courtiers de petite et de moyenne taille d’améliorer leur résilience en matière de cybersécurité, d’échanger de l’information et d’acquérir des connaissances auprès de leurs pairs du secteur des valeurs mobilières et d’experts de la gestion des cyberrisques, du droit relatif à la protection des renseignements personnels et de la cyberassurance.
Comme suite à ces exercices, nous publions un guide d’intervention en présence d’un rançongiciel. Celui-ci décrit les étapes générales qu’un courtier membre doit suivre pour s’assurer d’une intervention rapide, coordonnée et efficace en cas d’attaque par rançongiciel.
En 2018, l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), l’un des deux organismes qui ont précédé l’OCRI, a organisé un exercice de simulation de cybersécurité pour ses courtiers membres de petite et moyenne taille. Après le succès de cet exercice, et comme il est mentionné dans nos priorités en matière de conformité de 2022-2023 et dans nos priorités pour l’exercice 2024, l’OCRI a organisé d’autres exercices en 2023 pour ses courtiers membres, lesquels réunissent désormais les courtiers en placement et les courtiers en épargne collective.
Les exercices s’adressaient aux courtiers de petite et moyenne taille, puisque ceux‑ci n’ont généralement pas les ressources dont disposent les courtiers de grande taille pour gérer les cyberrisques. Les objectifs des exercices étaient les suivants :
Les exercices consistaient en deux études de cas distinctes – un incident causé par un rançongiciel et un incident causé par une menace interne – qui portaient sur la détection des menaces, la coordination de l’intervention et l’évaluation des répercussions.
Les exercices se sont déroulés à deux emplacements : à Toronto le 26 octobre 2023 et à Calgary le 1er novembre 2023. Les participants ont été divisés en deux groupes de travail. Ils ont joué des rôles définis au préalable au sein d’un courtier membre typique et discuté d’interventions en situation de crise en fonction des scénarios.
Près de 200 personnes physiques provenant de 128 courtiers membres de l’OCRI ont participé aux exercices. Les participants représentaient un éventail diversifié de fonctions au sein des courtiers membres de l’OCRI, dont la gouvernance, la conformité, la cybersécurité, les technologies de l’information, les opérations, les ventes et les finances.
Un certain nombre d’experts ont apporté leur soutien aux exercices :
Nous sommes très reconnaissants de la participation et du soutien précieux de tous pour faire des exercices un succès.
Les attaques par rançongiciel, qui demeurent courantes, se multiplient et se raffinent, entraînent de lourdes pertes financières ou un préjudice réputationnel considérable pour un certain nombre de sociétés. Une intervention rapide, coordonnée et efficace en cas de cyberattaque est essentielle pour protéger les courtiers membres et leurs investisseurs, employés et parties prenantes.
Nous avons préparé un guide d’intervention en présence d’un rançongiciel (PDF) qui peut servir de marche à suivre lorsqu’il faut gérer des incidents causés par un rançongiciel. Nous avons aussi publié un avis intitulé Cybersécurité – Rançongiciels en 2021, lequel fournit aux courtiers membres quelques étapes de base à suivre pour prévenir et détecter les attaques par rançongiciel, intervenir en cas d’une telle attaque et rétablir leurs activités après une telle attaque.
Consulter la page Cybersécurité et technologie de notre site Web pour obtenir des guides et des ressources supplémentaires qui aident les courtiers membres de l’OCRI à se protéger et à protéger leurs clients contre les cybermenaces et les cyberattaques.